SD-WAN以成本低廉、創建靈活等優勢正在快速崛起,蠶食著MPLS部分市場份額。儘管SD-WAN在技術領域和資本市場備受追捧,然而很多企業依然對於SD-WAN的安全性心存顧慮。
2019年,SD-WAN已經成為企業網絡運營商和雲服務商最熱門的話題之一。據Gartner預測中,到2020年,SD-WAN設備銷售額將達到12.4億美元;此外,IDC也預測,到2021年複合年增長率將增長69%,達到80億美元以上。
從長期來看,SD-WAN廣闊的市場前景不容置疑,但是新興技術的落地往往需要很長一段時間,技術概念的熱捧與市場成熟度之間還要跨過很大的鴻溝。
對於新興的SD-WAN市場而言,面臨的早期挑戰之一就是解決安全問題,其中包括客戶對這種新服務產品安全性的看法。
據Gartner調查,“72%的受訪者表示安全是他們使用廣域網時最關心的問題,其次才是網絡性能和成本。”
SD-WAN安全問題日益受到關注,很大程度上是由於網絡互聯下的跨業務應用程序和工作流程越來越多,從雲端連接到遠程終端用戶和物聯網設備,再到SD-WAN連接的分支機構,都可能成為薄弱環節,使整個企業面臨威脅。
然而,目前市場上近百家SD-WAN供應商中,大多數僅支持狀態防火牆和VPN等基本功能。基於如今所面臨的網絡安全挑戰狀況,這些並不足以保護企業免受網絡攻擊。
SD-WAN的基本安全要求
企業到底要使用什麼樣的安全策略,才能夠安心享受SD-WAN帶來的便利呢?為了應對日益複雜的安全挑戰,以下是針對SD-WAN解決方案的四種安全策略:
1. 堅持原生NGFW保護
首先,企業必須選擇具有內置NGFW安全性的SD-WAN解決方案。這種原生的安全性,可以在整個SD-WAN(從分支到雲到核心)之間實現一致的檢測和保護。
即使SD-WAN網絡發生變化並適應不斷變化的網絡需求,這種SD-WAN解決方案中的原生安全功能,都可以像在本地一樣保護業務數據和應用程序,動態的適應連接環境的變化。
2. 整合是基礎
部署獨立的安全解決方案,只會增加現有分佈式網絡本身已經很複雜的架構。因此,企業為SD-WAN部署選擇的安全策略,應該輕鬆無縫地集成到現有的安全架構中。
通過提供透明的網絡安全可視圖,集中管理控制以及威脅情報共享和關聯,將SD-WAN解決方案作為安全結構中一部分,能夠為企業提供更強大的安全狀態。
3. 必須加密SD-WAN流量
用寬帶連接取代MPLS的挑戰是,公共互聯網通常不太可靠,這對於需要即時訪問資源和數據的數字企業和用戶來說,可能是一個嚴重的問題。
此外,近90%的組織都實施了多雲戰略,每個雲都需要自己獨立的連接。因此,大多數部署SD-WAN的企業使用多個寬帶鏈路,將企業分支連接到核心網絡以及多雲中。然而,每一次連接都會擴展潛在的攻擊面。
此外,企業正在越來越多地部署基於雲的SaaS應用程序,以便員工能夠以最高效率進行協作,這些連接通常可能包含需要保護的關鍵信息。
因此,使用VPN作為傳輸安全覆蓋,就成為SD-WAN解決方案的必要組成部分。當然,通過VPN解決方案提供非常高的性能以及動態可擴展性,也是必不可少的。
4. 必須檢查加密流量
在數字化的環境中,僅有安全連接是不夠的。隨著SSL(HTTPS)流量的增加,攻擊者將惡意軟件隱藏在加密隧道內以逃避檢測。
不幸的是,大多數SD-WAN供應商只提供基本的安全性,並不提供SSL檢測,或者提供的SSL檢測不足以防禦攻擊,這是企業部署SD-WAN時最常見的錯誤。
其中有一個很大的挑戰是,即使安全團隊設法將安全性用於其SD-WAN部署,SSL檢查也將削弱市場上幾乎所有傳統NGFW解決方案的性能,這在實際使用過程中將會抵消SD-WAN解決方案所帶來的優勢。
在如今激烈的商業競爭中,企業很少願意犧牲性能,所以真正的SSL檢查要麼是隨意應用,要麼根本不應用。但是從企業安全角度來看,仔細檢查由第三方權威機構授權的SSL證書,才能夠確保SD-WAN的安全性要求。
總體而言,為了應對安全挑戰,SD-WAN需要在解決方案中直接嵌入一套複雜的安全工具,包括NGFW,IPS,Web過濾,防病毒/反惡意軟件,加密,沙箱以及加密數據的高速檢測。
此外,這些安全工具需要與分佈式網絡中其他地方部署的安全工具無縫集成,無論是在主園區,還是遠程和移動設備,以及已採用的每個不同雲解決方案中。
來自SD-WAN與安全領域的機會
SD-WAN的巨大市場潛力,正在吸引來自不同領域的玩家入場,包括雲服務提供商、網絡安全和網絡設備供應商等。
其中,網絡安全供應商的進度似乎更為激進。451 Research的高級分析師Mike Fratto曾表示,“SD-WAN是一個巨大的市場機會,它將迫使路由器和防火牆供應商不得不作出反應,以免被替換掉。”
事實上,包括Fortinet,Watchguard和Barracuda在內的許多網絡安全廠商,都在其硬件中增加了某種形式的SD-WAN功能。
Watchguard於2018年12月在其統一威脅管理(UTM)平臺上增加了SD-WAN功能,包括零接觸部署,安全VPN連接以及用於混合WAN環境的多個WAN連接。
去年7月,Fortinet將SD-WAN作為其下一代防火牆的一項功能,已經在該分支機構部署了硬件。Fortinet的網絡安全產品和解決方案高級主管Nirav Shah表示,擁有網絡堆棧是必需的。
Masergy(2016年),Barracuda(2018年)和Netsurion(2018年)也採取了類似行動。
值得注意的是,幾乎每個SD-WAN供應商也都開始關注安全性。這包括供應商通過合作伙伴關係增加安全性,或者一些較大的供應商與其自己的現有安全產品集成,例如:
Citrix 添加了新的自動化安全功能,包括與zScaler雲安全平臺的集成。思科去年將其SD-WAN與其安全硬件和軟件相結合。
JuniperNetworks在其Junos操作系統上運行其SD-WAN,該系統提供路由,交換和安全性。
NEC最近在推出的開源基礎平臺上結合了安全和SD-WAN功能。
VMware正在發展其基於Velocloud的SD-WAN,以實現服務即服務,其中包括安全層。
總之,無論是安全供應商希望通過使用SD-WAN功能來應對競爭威脅,還是SD-WAN供應商想通過增加安全性來提升競爭力,顯然SD-WAN的安全性建設已經被業界注意到了,這對於企業用戶而言是一件好事,畢竟安全性需要直接構建到網絡中,而不是作為事後補充。
在SD-WAN運動進行得如火如荼之際,如何提升網絡的安全性也將成為企業服務領域新的挑戰和機會。
閱讀更多 科技雲報道 的文章
